随着网络环境复杂程度的不断升级和攻击手段的花样百出，网络通信不再简单地依托存储转发应用，而已经扩展到如即时通讯(IM)、P2P应用、VoIP、流媒体和远程电话会议等实时协作工具中。此类沟通方式的出现为人们的工作和生活带来便捷的同时，也为潜在的威胁入侵提供了可乘之机。如今一场精心策划的恶意攻击能够深入到传统状态包检测产品中，而为了确保基本网络性能，传统的解决方案只侧重于扫描数据包的报头，而遗漏了数据包内隐藏的数据威胁。为了将安全防护进行到底，今天的统一威胁管理需要出色的硬件架构、实时的深度包检测(DPI)和足够强大的防御手段。

　　东软NISG被称作集成安全网关的“3G”时代来临，指的是技术上的突破吗?其技术特点和先进性到底在哪里?它为用户信息安全防护提供了什么新的思路?又带来了哪些实际应用价值?带着这些疑问，本刊记者采访了东软NetEye信息安全产品经理徐松泉。

　　徐松泉解释说，“1G”时代是状态包过滤技术，东软在1998年率先推出了状态检测防火墙;“2G”时代是指东软在2002年推出的“内核流过滤”技术，它为现在的协议分析、内核并行过滤、蠕虫防护奠定了技术基础;2009年底，东软重磅推出的NISG以全线速、全防护的表现开创安全网关的“3G”时代。正如手机“3G”的主要突破是在上网速度和应用多样性一样，东软NISG的突破主要体现在性能和深度防御的全面性上。东软NISG在开启包括防病毒等所有功能后，深度防御性能仍可达千兆线速，这是一个重大技术突破，这一突破主要得益于东软NetEye的内核级“流过滤”技术，采用多核架构并结合内核的并行调度机制，使得深度防御性能完全可以满足高端千兆网络的部署环境，如电信、IDC等。同时，东软NISG采用了东软NEL平台，提供细粒度的协议解析控制，从而达到防病毒、URL过滤、反垃圾邮件等功能的紧密集成。

　　“慎重”选择基础硬件平台

　　在不明显降低网络吞吐量的前提下，基础架构的性能对完成实时DPI至关重要，据徐松泉介绍，正是因为重要，东软NetEye在选择基础硬件平台时是慎之又慎。多核架构在性能、可扩展性和节能性方面比其它安全平台更具优势，是进行实时DPI最好的硬件平台。多核处理器与并行流过滤技术兼容的灵活性、经济性和能效性构成了高性能信息安全防护的基础。

　　Nelahem多核技术源于Intel采用串行总线的NP技术，适用于大型机和高端服务器领域，具有强大计算能力，是集NP、并行处理和IA架构优点于一身的高性能、低成本计算架构。

　　与思科的QuantumFlow、RMI的XLR和CAVIUM的OCTEON多核芯片一样，Nelahem多核架构属于新的多核低功耗架构。Nelahem架构采用QuickPath的串行总线通信，使用高达6.4GT/s的链路互连，所提供的总带宽高达25GB/s，最高支持4颗处理器，单一芯片最高可拥有2、4及8颗核心，支持经改良的Hyper-Theading技术，单颗处理器最高可支持16 Threads。最高端系统可支持4颗CPU，每颗CPU8个核心，总计64线程。

　　由于Intel的Nelahem多核架构具备高性能、低功耗的特性，面向手机领域的Nelahem架构芯片己用于手机硬件平台，性能功耗比可媲美ARM架构。东软NISG的硬件架构在具有出色的性能表现的同时，也响应了今日绿色环保低碳的技术趋势。

　　出色性能确保安全

　　卓越的硬件架构带来的出色性能表现主要体现在吞吐量、每秒新建连接数和最大并发连接数三个重要指标上。据徐松泉介绍，东软NISG的吞吐量可达双向万兆线速，每秒新建连接数达50万，远远高于市面上大多数的UTM及防火墙产品。新建连接数代表设备处理突发事件的能力，例如在DDoS攻击、蠕虫爆发等热点事件发生时，会出现网络流量陡增，用户数量激增，单位时间内出现大量正常或不正常连接，这时就需要既能过滤非正常连接，同时又能承受大量的正常请求。换句话说，既能够抵御非法入侵请求，又不会造成性能瓶颈影响正常业务。只有高性能、高稳定性并可灵活扩展的网关类安全设备才能很好地适应金融、电信、能源等高端行业用户7*24不间断的业务应用需求。东软NISG并发连接数可达到400万，同样超过多数独立形态的安全设备。并发连接数反映了安全设备在同一时间内能够承受的连接数量。目前开启一个P2P软件，其并发的连接数量就可以达到十几个甚至几十个。对于校园网、电信城域网这些大型网络来说，在网络出口处的并发请求可达到上百万，并且随着应用的增多这个数字还在不断攀升，网关设备只有具备足够的并发连接处理能力才能充分适应和满足高端行业用户网络环境中的真实需求。

　　Web应用深度防护

　　Web数据流是现在威胁传播的主要载体。据业内估计，大约50%以上的电脑曾感染间谍软件，但不足10%的系统在网络周边部署了恶意软件防御措施。基于Web的恶意软件传播速度非常快，变种能力也很强，其危害性日益严重，因此拥有一个强健的、能够保护网络周边并抵御这些安全威胁侵害的安全平台就极为重要。东软NISG的Web防护模块通过Web流量的深度检测实现了Web应用的深度防护，提供全面的入侵防御保护。Web防护模块能在攻击到达Web服务器之前进行阻断，防止恶意请求或内置非法程序请求访问目标应用，主要依靠五大法宝取胜web安全保卫战，徐松泉解释说。

　　法宝一：站点隐藏。成功的Web攻击往往由探测网络漏洞开始。在网络上很容易找到漏洞扫描工具对网站的应用程序、服务器、URL等进行扫描。东软NISG的Web防护模块提供站点隐藏功能，黑客将无法查看web的源信息，如返回码、终端服务器的IP等，并且访问出错信息也将由Web防护模块提供，后端服务器的出错信息不会直接返回给用户，有效避免了服务器敏感信息的泄露，同时也防止黑客利用出错信息发动攻击。

　　法宝二：合规性检查。东软NISG的Web防护模块能够解码进入请求是否合法合规，仅允许正确的格式或RFC遵从的请求通过，有效阻止恶意请求或Header、URL中脚本非法植入。另外，Web防护模块能防御包括如跨站点脚本攻击、缓冲区溢出攻击、恶意浏览、SQL注入等一系列已知或未知的攻击。Web防护模块还能进行Web地址翻译、请求限制和URL格式定义等。

　　法宝三：HTTP协议方法控制。东软NISG的Web防护模块可以限制外部访问Web服务器所使用的HTTP方法，包括：GET、POST、DELETE、HEAD、CONNECT、TRACE、PUT等。同时，它可以设定可信访问客户端IP(白名单)而跳过安全策略规则的检测;设定非法访问客户端(黑名单)直接禁止其任何对WEB服务器的访问。此外，用户还能够根据业务需求，针对某些关键字、数据段长度等相关信息自定义安全过滤规则。

　　法宝四：默认安全策略。东软NISG的Web防护模块提供默认的安全策略对Web网站或应用进行严格的保护。每个策略分为若干子策略，包括：HTTP协议合规性、SQL注入阻断、跨站点脚本攻击防护、DoS攻击防护、请求包大小限制等。

　　法宝五：个性化安全策略。除了默认的策略外，用户还可以创建个性化的安全策略，如限制HTTP请求Head大小、丢弃超过规定大小的请求、避免恶意代码通过等。

　　利用先进的对象解析和导向技术，东软NISG的Web防护可以在多个层次上提供反恶意软件扫描引擎。通过对内容应用的深入检查及网络层的模式检测，实现进站和出站活动的双向检查，高效防范包括广告软件、浏览器黑客、钓鱼、网址嫁接攻击等多种安全威胁，保障网络数据流的全面安全。另外，利用东软NISG的Web防护模块执行可接受的Web使用政策能够培养员工的风险防范意识，强化风险防范教育，激励合规操作，减少对网络和带宽的误用和滥用。

　　DDoS攻击防御有道

　　徐松泉介绍到，东软NISG集成DDoS防护功能，主要包括以下几个方面：

　　1.漏洞防护：保护服务器不受攻击者利用已知漏洞进行攻击;

　　2.木马防护：阻止木马程序入侵PC使其变成“僵尸主机”;

　　3.带宽防护：保护网络不受ICMP、TCP 或UDP 等数据包洪水攻击的影响;

　　4.针对具体的DDoS攻击的防护：如SYN Proxy防护功能。

　　通过以上四个不同层次的防御，东软NISG可以将DDoS攻击拒之门外。以SYN Flood 攻击为例，东软NISG可以起到代理服务器的作用，生成SYN/ACK 数据包并将它作为应答传给请求者，并等候返回的ACK 数据包。当收到请求者的ACK 数据包后，东软NISG将把三次的“握手”过程“回放”给接收端。如果是一个攻击者发起的请求，不会完成TCP 的“三次握手”，就不会由数据包传向目标服务器，避免了连接资源的占用。即使是正常的TCP连接建立，东软NISG也会持续监视数据和连接，确保服务器始终处于安全状态下。

　　东软NISG还可以实现“反攻击”效果。当NISG的SYN COOKIE被设置启用后，端口扫描软件进行扫描时会显示所有端口都处于开放状态。由于端口数量过多甚至会造成扫描程序的假死状况，而假死的原因是LISTBOX的空间最多只能显示65535行。如果所有端口全部开放，最终显示的端口列表将超过控件上限而导致扫描程序的假死，由于所有端口都显示开放，也就让攻击者无从下手了。

　　安全与管理两手抓

　　我们常说安全和管理密不可分，当记者问到东软NISG设计之初是否有运维管理方面的考虑时，徐松泉表示，东软NISG支持集中管理功能，大大降低了大型网络部署的维护和控制难度。以日常审计为例，通过东软NISG的集中管理系统，用户可以一次性完成对所有被管理设备的日志审计工作。另外，东软NISG的集中管理中心可以收集设备上的数据，实时监控当前网络流量，对网络使用率进行全面的统计与分析，并生成网络流量监控图表，有助实现网络性能的优化与提升。

　　东软NISG通常部署在关键的网关位置，因此对稳定性的要求极高。在可用性设计方面，东软NetEye也有着充分的考虑：支持多链路接入，这样部分链路的损坏就不会影响到其他链路，并可以将故障链路的流量转移到其它链路上;重要物理部件的实时监控，可以在出现故障时进行实时报警;支持电源等重要部件的热插拔;具备冗余电源;支持接口BYPASS功能等等。

　　东软NetEye集成安全网关NISG采用突破性的Nelahem多核处理器架构与全新的攻击检测防御手段，将新一代统一威胁管理(UTM)与实时深度包检测相结合，具备全面的攻击防御能力、强大的Web及DDoS防护能力，在安全性和性能方面大大超越传统UTM解决方案，令人不得不对其在市场上的表现足够关注、充满期待。